隨著各種節假日到來,小夥伴們開始頻繁地收發紅包,有朋友間的互送,也有商家的推廣活動。可你有沒有想過,哪天當你點開一個紅包鏈接,自己的支付寶信息瞬間在另一個手機上被“克隆”了?而別人可以像你一樣使用該賬號,包括掃碼支付。這不是聳人聽聞,你安裝的手機應用裡,真的可能存在這種漏洞。
前兩天網友小張收到一條95588發來的短信,說好友小燕給自己發了一個188的支付寶紅包,小張點擊了短信裡的網址按裡面內容,發現頁面跟真支付寶的頁面相似,但並沒有收到提示領取紅包,他就關閉網址退了出來,過了幾天小張收到短信提示,發現自己支付寶被人在商場消費一千多元。
經過警方的調查,其實這是一起新型的利用安卓機漏洞進行攻擊盜竊的案例。檢測發現國內安卓應用市場十分之一的APP存在漏洞而容易被進行“應用克隆”攻擊,甚至國內用戶上億的多個主流APP均存在這類漏洞,幾乎影響國內所有安卓用戶。
首先,“用戶手機”收到攻擊者發來的短信,當用戶點擊短信中的鏈接:用戶在自己的手機上看到的是一個搶紅包頁面:“攻擊者手機”則克隆了該“用戶手機”的支付寶賬戶,賬戶名用戶頭像完全一致,兩臺手機看上去一模一樣。通過克隆來的二維碼,“攻擊者手機”在商場輕鬆地掃碼消費成功。警方在被克隆“用戶手機”上看到,這筆消費已經悄悄出現在支付寶賬單中。因為小額的掃碼支付不需要密碼,一旦中了克隆攻擊,攻擊者就完全可以用自己的手機,花別人的錢。其實當你點擊短信中鏈接或掃二維碼,就已經中招了,攻擊者把與攻擊相關的代碼,隱藏在一個看起來很正常的頁面裡面,你打開的時候,你肉眼看見的是正常的網頁,可能是個新聞,可能是個視頻、可能是個圖片,但實際上攻擊代碼悄悄的在後面執行。攻擊者可以在他的手機上完全地操作賬戶,包括查看隱私信息,甚至還可以盜用裡面的錢財。
警方提醒:手機短信中附帶的網址儘量不要點擊,其中多半可能含有木馬病毒。此外,紅包信息一定要與發送人進行確認,切莫在陌生網站上輸入銀行卡號與密碼等重要的個人信息。手機用戶還可以選擇安裝各種安全類APP對各類系統病毒以及木馬進行實時的攔截查殺,保證手機運行安全,同時也能防止騙子利用釣魚短信及網站進行錢財詐騙。更重要的是,要關注官方的升級,包括你的操作系統和手機應用,真的需要及時升級。
閱讀更多 洋浦網警巡查執法 的文章
